SamSam勒索病毒变种预警
  

SSEC Lv4发表于 2018-3-27 19:33

一、概述

    最近,美国亚特兰大市的多家公司及个人计算机遭到了大规模的勒索软件攻击,官方甚至声明:“与该市打过交道的每家公司或每个人都面临险境”。
    深信服EDR安全团队研究发现,这次病毒是SamSam家族的勒索病毒变种,它是以.Net语言编写的。样本采用RSA2048加密算法将系统中大部分的文档文件加密为.breeding123后缀的文件,然后对用户进行勒索。该变种跟以往SamSam病毒的不同之处在于,其使用RDP爆破进行传播,因此,开启了RDP协议且使用弱密码的用户将受到潜在风险。
    当用户点击此病毒后,病毒开始加密系统文件,然后在桌面创建多个勒索信息的html文件,并显示勒索提示框:
    图片1.png

二、病毒分析

    样本主体分析
    (1)样本采用.NET语言进行编写的,去混淆,如下图所示:
    图片2.png
    (2)通过JetBrains dotPeek可以反汇编得到相应的.NET源码,如下图所示:
    图片3.png
    (3)解密相关的字符串,将SALT key传入解密函数,进行解密,如下图所示:
    图片4.png
    (4)解密的相关函数,反汇编代码如下所示:
    图片5.png
    (5)通过前面的解密字符串函数,得到后面加密的文件类型,动态调试如下所示:
    图片6.png
     加密的文件类型列表:
.vb,.asmx,.config,.3dm,.3ds,.3fr,.3g2,.3gp,.3pr,.7z,.ab4,.accdb,.accde,.accdr,.accdt,.ach,.acr,.act,.adb,.ads,.agdl,.ai,.ait,.al,.apj,.arw,.asf,.asm,.asp,.aspx,.asx,.avi,.awg,.back,.backup,.backupdb,.bak,.lua,.m,.m4v,.max,.mdb,.mdc,.mdf,.mef,.mfw,.mmw,.moneywell,.mos,.mov,.mp3,.mp4,.mpg,.mrw,.msg,.myd,.nd,.ndd,.nef,.nk2,.nop,.nrw,.ns2,.ns3,.ns4,.nsd,.nsf,.nsg,.nsh,.nwb,.nx2,.nxl,.nyf,.tif,.tlg,.txt,.vob,.wallet,.war,.wav,.wb2,.wmv,.wpd,.wps,.x11,.x3f,.xis,.xla,.xlam,.xlk,.xlm,.xlr,.xls,.xlsb,.xlsm,.xlsx,.xlt,.xltm,.xltx,.xlw,.xml,.ycbcra,.yuv,.zip,.sqlite,.sqlite3,.sqlitedb,.sr2,.srf,.srt,.srw,.st4,.st5,.st6,.st7,.st8,.std,.sti,.stw,.stx,.svg,.swf,.sxc,.sxd,.sxg,.sxi,.sxm,.sxw,.tex,.tga,.thm,.tib,.py,.qba,.qbb,.qbm,.qbr,.qbw,.qbx,.qby,.r3d,.raf,.rar,.rat,.raw,.rdb,.rm,.rtf,.rw2,.rwl,.rwz,.s3db,.sas7bdat,.say,.sd0,.sda,.sdf,.sldm,.sldx,.sql,.pdd,.pdf,.pef,.pem,.pfx,.php,.php5,.phtml,.pl,.plc,.png,.pot,.potm,.potx,.ppam,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.prf,.ps,.psafe3,.psd,.pspimage,.pst,.ptx,.oab,.obj,.odb,.odc,.odf,.odg,.odm,.odp,.ods,.odt,.oil,.orf,.ost,.otg,.oth,.otp,.ots,.ott,.p12,.p7b,.p7c,.pab,.pages,.pas,.pat,.pbl,.pcd,.pct,.pdb,.gray,.grey,.gry,.h,.hbk,.hpp,.htm,.html,.ibank,.ibd,.ibz,.idx,.iif,.iiq,.incpas,.indd,.jar,.java,.jpe,.jpeg,.jpg,.jsp,.kbx,.kc2,.kdbx,.kdc,.key,.kpdx,.doc,.docm,.docx,.dot,.dotm,.dotx,.drf,.drw,.dtd,.dwg,.dxb,.dxf,.dxg,.eml,.eps,.erbsql,.erf,.exf,.fdb,.ffd,.fff,.fh,.fhd,.fla,.flac,.flv,.fmb,.fpx,.fxg,.cpp,.cr2,.craw,.crt,.crw,.cs,.csh,.csl,.csv,.dac,.bank,.bay,.bdb,.bgt,.bik,.bkf,.bkp,.blend,.bpw,.c,.cdf,.cdr,.cdr3,.cdr4,.cdr5,.cdr6,.cdrw,.cdx,.ce1,.ce2,.cer,.cfp,.cgm,.cib,.class,.cls,.cmt,.cpi,.ddoc,.ddrw,.dds,.der,.des,.design,.dgc,.djvu,.dng,.db,.db-journal,.db3,.dcr,.dcs,.ddd,.dbf,.dbx,.dc2,.pbl
    (6)遍历磁盘,进行后面的加密文件操作,如下图所示:
    图片7.png
    (7)加密文件,遍历对应磁盘下的文件目录,如果是下面这些目录,则不进行后面加密操作,直接返回,相应的目录如下:
    c:\windows\        
    c:\winnt\
    或者文件目录中包含下面这些字符,同样不进行加密操作,相应的字符串如下:
    reference assemblies\microsoft
    recycle.bin
    c:\users\all users
    c:\documents and settings\all users
    c:\boot
    c:\users\default
    反汇编代码如下图所示:
    图片8.png
    (8)定位到相应的文件目录之后,开始遍历里面的文件,如果文件名扩展是下面这些文件名类型,则不进行后面的加密操作,相应的后缀名如下:
    .breeding123  .search-ms        .exe        .msi        .lnk        
    .wim        .scf        .ini        .sys        .dll
    或者文件名是或者包含如下这些文件名:
    Startinfo.bat        followed2.vshost.exe        READ-FOR-DECCC-FILESSS.html
    Desktop.ini        ntuser.dat        search-ms
    microsoft\windows        appdata
    以及文件的父路径为C:\,则都不进行后面的加密操作,反汇编代码如下图所示:
    图片9.png
    (9)如果文件名扩展名,为下面这些文件扩展名,则加密相应的文件,反汇编代码如下:
    图片10.png
    加密后的文件名为原文件名+ .breeding123(后缀),如下图所示:
    图片11.png
    整个加密过程的反汇编代码如下所示:
    图片12.png
    (10)结束相应的sql数据库进程,如下图所示:
    图片13.png
    图片14.png
    (11)在桌面创建10个勒索信息的html文件,文件名为:READ-FOR-DECCCC-FILESSS.(0-9)html,反汇编代码如下所示:
    图片15.png
传播方式
    这个勒索病毒主要通过爆力破解RDP的方式进行传播,其不具备横向感染的能力,不会对局域网的其他设备发起相应的攻击。

加密算法
    该勒索病毒采用RSA2048加密算法加密文件,目前暂没有相应的解密工具。

三、预防措施
    目前深信服EDR已经具备相应的检测查杀能力,如图所示:
    图片16.png

    深信服提醒用户,日常防范措施:
    1.不要点击来源不明的邮件以及附件
    2.及时给电脑打补丁,修复漏洞
    3.对重要的数据文件定期进行非本地备份
    4.安装专业的终端/服务器安全防护软件
    5.定期用专业的反病毒软件进行安全查杀
    6.SamSam勒索软件主要利用RDP(远程桌面协议)爆破进行攻击,因此建议用户关闭相应的RDP(远程桌面协议)  
    7.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等


网络病毒无孔不入,防范措施不可淡无

你怎样评价此新病毒的破坏性?

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

sangfor_闪电回_晓六 发表于 2018-4-2 19:29
  
学习了,谨记专家的提醒
yl2352 Lv8发表于 2018-4-4 08:13
  
谢谢专家提醒,早做防备。
zhb Lv16发表于 2018-4-4 16:11
  
RDP协议估计大家都不会关,
如果中了病毒,是文件先被加密呢还是,还是先被EDR杀掉
池栋 Lv2发表于 2018-4-8 10:27
  
网络时代真是风起云涌啊
Snail5027 Lv2发表于 2018-4-19 17:06
  
干货,硬技术,学习ing。技术流走一波

×
有话想说?点这里!
可评论、可发帖

本版版主

48
19
1

发帖

粉丝

关注

本版热帖

本版达人

TravelN...

本周建议达人